Centrum voor ICT
Informatiebeveiliging Leuk én makkelijk drs. Arjan de Vries RE ICT-Architect
Centrum voor ICT
Over de Belastingdienst Gegevens van de Belastingdienst: n a • 7 miljoen belastingplichtige particulieren v g in g i l i • 800.000 bedrijven en instellingen e v s e n e B • 7 miljoen motorvoertuigen v e g ge Processen van de Belastingdienst: • het heffen en innen van rijksbelastingen • het uitoefenen van toezicht door de FIOD-ECD controleren van in-, uit- en doorvoer van Kritische • het goederen door de Douane processen • het controleren op afvalstoffen, gevaarlijke stoffen, wapens en verdovende middelen
Centrum voor ICT
Over het Centrum voor ICT Een moderne matrixorganisatie waar circa 3000 mensen werken
Het Centrum voor ICT ondersteunt de Belastingdienst met: • enkele honderden informatiesystemen • de grootste relationele database van Europa • 36.000 werkplekken • 2 mainframes en vele servers
Centrum voor ICT
Agenda • Korte uitleg • Invullen enquête • Antwoorden enquête • Wrap-up en vragen
Centrum voor ICT
Computer = Afhankelijkheid
Hacker = Steeds jonger Tools = Freeware
Vakgebied = Meer volwassen
Informatie = Strategisch
Centrum voor ICT
Enquête
•
Wat is de relatie met informatiebeveiliging bij de Belastingdienst? – geen, en toch alles
•
Wat zijn de juiste antwoorden? – geen, en toch alles
Centrum voor ICT
Risicoanalyse
1. Je woonhuis kan in brand vliegen of er kan worden ingebroken. Welke kwetsbaarheid uitspraak past bij je?
afhankelijkheid
a=1, b=5, c=5, d=10 risico’s
maatregelen
verzekering nee
restrisico’s Bron: De risicoanalyse voorbij – Arjan de Vries
acceptabel?
ja
stop
Centrum voor ICT
Risico’s zoeken of mijden? Risico’s nemen = Durf tonen? Gokje wagen = Kans op status?
Risico’s uitsluiten = Zekerheid?
Bron: www.uitdaging.net
2. Verpakt eten is enkele dagen over de datum. Wat doe je? a=5, b=3, c=1, d=10
Centrum voor ICT
Structuur en backup
3. Iemand is een bestand in de computer kwijt. Welke uitspraak past bij je? a=5, b=10, c=10, d=1
Centrum voor ICT
Soorten maatregelen voorkomen van verstoringen regressieve maatregelen
Bedreiging
Herhaling
preventieve maatregelen
verhelpen van verstoringen Incident
Herstel
correctieve maatregelen
€
Schade
detectieve maatregelen
Centrum voor ICT
De digitale voordeur
4.
Een firewall is een beveiligingsmaatregel bij het koppelen met netwerken zoals bijvoorbeeld het Internet. Heb je een firewall? a=5, b=0, c=0, d=7
Centrum voor ICT
Hoeveel voordeuren heeft een computer? 0 t/m 1023 Bekende poorten (port 80 bijna altijd HTTP, enz) 1024 t/m 49151 Kunnen diensten herbergen 49152 t/m 65535 De dynamische poorten of private poorten
On-line security scan op http://www.surfopsafe.nl en http://grc.com/faq-shieldsup.htm
Centrum voor ICT
Druk werk door reclamedrukwerk
De huidige wetgeving omtrent spam bestaat voor een groot deel uit de Telecommunicatiewet die op 19 mei 2004 van kracht is geworden. De wijziging van die wet komt voor uit een zestal Europese richtlijnen. Bron: www.spamvrij.nl
http://www.postini.com/stats/
5.
Hoeveel procent van je e-mail is Spam? a=10, b=7, c=4, d=1
Centrum voor ICT
Waar komt SPAM vandaan? (18 mei 2004)
http://www.postini.com/stats/
Zaterdag, 28 februari 2004 - Elke dag worden er vanuit Europa miljoenen spamberichten verstuurd. Nederland is op Europees niveau de grootste verspreider. Nederland neemt wereldwijd een vijfde plaats in. bron: www.webwereld.nl
Centrum voor ICT
Waar komt SPAM vandaan? (10 juni 2004)
http://www.postini.com/stats/
Centrum voor ICT
Waar komen virussen vandaan? (18 mei 2004)
http://www.postini.com/stats/
Centrum voor ICT
Etherpiraten
Wardriving
Dumpster driving
6. Draadloos is in. Heb je je wel eens afgevraagd of bijvoorbeeld draadloos bellen wel veilig is? a=1, b=4, c=6, d=10
Centrum voor ICT
Screendump Netstumbler
MAC Adres locked?
Zo heet het netwerk
WEP Encryptie?
Centrum voor ICT
Help, ik ben gestolen! kennis
Authentificatie
bezit zijn
7. Hoeveel persoonsgebonden pasjes heb je op dit ogenblik bij je? a=10, b=7, c=4, d=1
Centrum voor ICT
Ik hoef niets van je te weten, alleen je pincode nog…
Jammie! http://www .inter-actief.n /www. .nl
8. Welke uitspraak pas bij je met betrekking tot Cookies tijdens het internetten? a=5, b=2, c=0, d=10
Centrum voor ICT
Is elektronisch geld echt geld? te beveiligingen objecten Mensen
beveiligingsbeheer elden be Voor Gebruikersbeheer Sleutelbeheer
Procedures
Logbeheer Versiebeheer
Applicaties
Rechtenbeheer
Gegevensinfrastructuur Technische Infrastructuur Basisinfrastructuur
Configuratiebeheer Netwerkbeheer Beheer van gebouwen
te beveiligingen Beschikbaarheid aspecten Integriteit Vertrouwelijkheid
9. Wat is je mening over elektronisch bankieren? a=10, b=3, c=5, d=8
Centrum voor ICT
Up-to-late (1)
10. Wat is je mening over het downloaden en installeren van updates van het besturingssysteem van je computer? a=0, b=2, c=10, d=5
Centrum voor ICT
Up-to-late – het dilemma Automatiseringsgids Week 20: In Nederland werd onder andere de drukkerij van PCM Uitgevers getroffen. Waarom was zo’n vitaal systeem niet tijdig gepatcht? Koningsveld (PCM): "Het probleem met patches is dat ze niet zelden neveneffecten hebben"
Automatisering Gids Week 20: “Tussen de bekendmaking van een kwetsbare plek in Windows en het opduiken van de internetworm Sasser zaten slechts twee weken”.
Tijd release van de software
ontdekking lek
melding aan leverancier
publiekelijk bekend
patch beschikbaar
worm of virus
Centrum voor ICT
SIPS, ABS en WBP
Is Side Impact Protection System en AntiBlokkeringsSysteem een aankoopoverweging?
11. In de Wet Bescherming Persoonsgegevens zijn regels opgenomen ter bescherming van de privacy. Welke uitspraak spreekt je het meest aan? a=1, b=10, c=4, d=7
Centrum voor ICT
Opt-in, Doelbinding en Inzagerecht
Bij opt-in moet je expliciet aangeven dat je iets wilt ontvangen. Bij opt-out moet je aangeven dat je iets NIET wilt. Opt-out is dus meestal goed verstopt in de kleine lettertjes.
Centrum voor ICT
Noodzaak-Nuttig-Nutteloos Waargenomen nut Externe variabelen
Houding t.o.v. gebruik
Werkelijk gebruik
Waargenomen gemak Technical Acceptance Model
12. Maak je wel eens een verkeersovertreding (te hard rijden; door rood licht)? a=5, b=1, c=6, d=12 (incl. bonus)
Centrum voor ICT
Score Punten 0 – 20
Soort persoon
Tip
onbezonnen
Geen tip - de praktijk leert het je wel.
20 – 40
roekeloos
De tegenvallers die je af en toe hebt neem je voor lief. Maar meestal gaat het toch wel goed. Je kunt geluk een handje helpen door bewuster met risico’s om te gaan.
40 – 60
avonturier
Je neemt beheerst af en toe kleine risico’s. Je weet dat je de hoofdprijs in de loterij niet gaat winnen, maar toch...
60 – 80
voorzichtig
Je dekt risico’s bewust af, maar niet voor elke prijs. Door te vertrouwen op je intuïtie, kan je snel de juiste keuzes maken.
80 – 100
dubbelchecker
Je neemt het zekere voor het onzekere. Het afdekken van risico’s is niet altijd de goedkoopste oplossing, maar het geeft je rust of juist een kick. Dit neigt naar een fobie of uit de hand gelopen hobby.
100 – 120
geheelonthouder
Je maakt het jezelf onnodig moeilijk en mist de leuke dingen in het leven.
Centrum voor ICT
Beveiligingskosten
Wrap-up: De prijs van beveiliging
0%
Beveiligingsniveau
100%
Centrum voor ICT
Wrap-up: Acceptabel restrisico afhankelijkheid
kwetsbaarheid
risico’s
maatregelen
verzekering nee
restrisico’s
acceptabel?
ja
stop
Centrum voor ICT
Wrap up: Acceptabele risico’s voor een acceptabele prijs
Calamiteit
Onacceptabel
Schade Verlies klantengegevens Rekencentrum uitgebrand ….
‘Stelen van potloden’ e.d. Beveiligingshypes ….
Peanuts
Acceptabel
Vervelend
Te weinig Goed
Te veel
Kosten van maatregelen Bron: M. Spruit TU Delft
Centrum voor ICT
Vragen of … Risicoafweging
